Attacco XST bootstrap su Popovers

Question

Ho letto here che posso abilitare l'HTML in un popover, che può essere un potenziale problema per gli attacchi XSS.

Nel mio caso i popover non contengono nulla come forme o simili, ma solo testo o collegamenti o tabelle o immagini.

Posso usarli in sicurezza senza incorrere in attacchi XSS?

Grazie!

SN

Answer 1

Finché tu sei quello che fornisce l'html è sicuro di usarli. Non è sicuro abilitare l'html quando il contenuto proviene dall'input dell'utente e non è stato preventivamente disinfettato.